mboost-dp1

Sun

Java sikkerhedsopdatering hjalp ikke

- Via Ars Technica - , indsendt af XERXES

Et stort sikkerhedshul i Java 7, tvang Oracle til i sidste uge, at frigive en opdatering uden for deres normale opdateringscyklus. Opdateringen rettede nogle få af de 19 sikkerhedshuller, som polske Security Explorations havde fundet og rapporteret til Oracle tilbage i april.

Security Explorations skulle kun bruge 2 – 3 timers arbejde på, at omgå sikkerheden i den nye Java 7 update 7. Ved at tilrette den kode de brugte til at teste sikkerheden i den foregående version af Java og udnytte nogle af de oprindelige 19 sikkerhedshuller, der endnu ikke er rettet, lykkedes det sikkerhedsfirmaet at få fuld adgang til hostmaskinen, da de kan forbigå Java virtual machine sandkassemiljøet fuldstændigt.

Oracle har endnu ikke kommenteret på den nye opdagelse og er i forvejen under stærk kritik for, at reagere meget langsomt på indrapporterede sikkerhedshuller. Flere og flere eksperter anbefaler, at man helt fjerner Java fra sin computer, hvilket dog er svært i Danmark på grund af NemID.





Gå til bund
Gravatar #4 - f-style
3. sep. 2012 08:58
Ja det er utroligt at NemID skal bruge java fra oracle. Men man springer over hvor gæret er lavest. Det skal selvfølgelig være platform uafhængig men det kunne jo også gøres gennem andre platforme eller ved at bruge standarder.
Det er jo et problem i Danmark da vi jo potentielt er et rigtig nemt mål da alle computere stort set bruger java pga. netbanking herhjemme eller bare for at kommunikere med kommunen. Så behøver man ikke man in the middle angreb, da man kan "fake" de officielle netbank sider og så når der skal logges ind så spejler man hjemmesiden så navigeringen foregår via remote control og så når personen logger af så er der frit spil for dem som har kontrol over pc'en.
Det er netop også derfor man ikke skal køre med administrator rettigheder konstant men have en standard bruger med begrænsede rettigheder og gør brug af UAC i vista/7/8
Gravatar #5 - kr00z0r
3. sep. 2012 09:09
Går ud fra at det er nok at slå browser-pluginet fra, og at man ikke behøver fjerne Java helt fra sin computer. Jeg har slået det fra og slår det kun til når jeg skal på NemID, hvilket ikke er det store problem, da browseren ikke engang behøver genstartes.
Gravatar #6 - Erroneus
3. sep. 2012 09:11
Jeg har valgt hos mine forældre (som kører Firefox som primærbrowser) at installere Chrome og lave en genvej til den, som starter deres netbank op, så de kun bruger Chrome med Java aktiveret der, til netbank og så er Java fjernet fra alle andre browsere hos dem.
Gravatar #7 - mega2507
3. sep. 2012 09:16
Bruger stort set ikke netbank fra browser længere, bruger kun appet på min iPhone, så er man også fri for NemID og java lort, håber aldrig det bliver en del af min banks mobil app.
Gravatar #8 - bbb2020
3. sep. 2012 09:39
f-style (4) skrev:
Ja det er utroligt at NemID skal bruge java fra oracle. Men man springer over hvor gæret er lavest. Det skal selvfølgelig være platform uafhængig men det kunne jo også gøres gennem andre platforme eller ved at bruge standarder.


Er Java ikke platform uafhængigt og en standart i sig selv?
Gravatar #9 - TezlaByte
3. sep. 2012 09:51
bbb2020 (8) skrev:
Er Java ikke platform uafhængigt og en standart i sig selv?

http://da.wikipedia.org/wiki/Standart

Det er kun for at gøre dig opmærksom på "stavefejlen".
Gravatar #10 - lorric
3. sep. 2012 10:03
f-style (4) skrev:
Ja det er utroligt at NemID skal bruge java fra oracle. Men man springer over hvor gæret er lavest.


Nu er gær som regel osse meget lavt.

Nå, men ud over at lave sjov med stavefejl - hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt? Som har bedre sikkerhed og samme eller bedre udbredelse.
(Jeg prøver ikke at starte den store "NemID er noget lortekode" diskussion, så hold det sobert :-)
Gravatar #11 - kasperd
3. sep. 2012 10:13
lorric (10) skrev:
hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt?
https
Gravatar #12 - El_Coyote
3. sep. 2012 10:19
m|E|g|A (7) skrev:
Bruger stort set ikke netbank fra browser længere, bruger kun appet på min iPhone, så er man også fri for NemID og java lort, håber aldrig det bliver en del af min banks mobil app.


Tja det er måske en mulighed for nogle, men netbank appen har ikke de store muligheder indenfor investering og aktier. - jo man kan se kursen, men man kan ikke handle.
Gravatar #13 - noxity
3. sep. 2012 10:54
El_Coyote (12) skrev:
Tja det er måske en mulighed for nogle, men netbank appen har ikke de store muligheder indenfor investering og aktier. - jo man kan se kursen, men man kan ikke handle.


Endnu.. Det skulle være på vej :)
Gravatar #14 - bbb2020
3. sep. 2012 10:58
TezlaByte (9) skrev:
http://da.wikipedia.org/wiki/Standart

Det er kun for at gøre dig opmærksom på "stavefejlen".


@#€%&$£¥ stavekontrol.
Gravatar #15 - stekkurms
3. sep. 2012 11:05
lorric (10) skrev:
hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt?
En løsning baseret på https og ganske almindelige html forms ville have været mere sikker end deres java applet. Der er ikke behov for tredjepartskode på klienten. En browser uden nogen form for scripting eller plugins er tilstrækkeligt til at lave en sikker løsning, og det var den platform man skulle have udviklet til.

Brugerne skal starte enhver session på et kendt https domæne under .dk. Det kunne have været nemid.dk/,]https://[url][/url]nemid.dk/,[/url] hvis ikke det lige var fordi det var optaget.

Første side beder om brugernavn og password.

Anden side beder om engangspassword og har radio buttons til at vælge hvilket site man vil ind på. Der kunne vises de ti sidste sites man har brugt og som default være valgt "andet", der vil sende brugeren videre til en liste over alle sites tilmeldt nemid.
Gravatar #16 - milandt
3. sep. 2012 11:11
El_Coyote (12) skrev:
er måske en mulighed for nogle, men netbank appen har ikke de store muligheder indenfor investering og aktier. - jo man kan se kursen, men man kan ikke handle.


I Danske Banks netbank app kan du handle aktier og værdipapirer.
Gravatar #17 - karstenharder
3. sep. 2012 11:12
Men https er da afhængig af certifikaterne, ikke sandt? Og var der ikke en del uro sidste år med certifikater der blev stjålet og misbrugt ...?
Gravatar #18 - stekkurms
3. sep. 2012 11:17
karstenharder (17) skrev:
Men https er da afhængig af certifikaterne, ikke sandt?
Jo. Og det er NemID også. Forskellen er bare at efter NemID blev indført er det blevet sværere at opdage om der bruges forfalskede certifikater, fordi der bruges flere forskellige certifikater.

Med NemID blandes flere forskellige https domæner sammen og der bruges også et certifikat til signatur på applets. Det betyder at man kan bryde sikkerheden ved at angribe blot et enkelt af alle de certifikater.

Før NemID blev indført var der banker, som kun brugte et enkelt https domæne, og derfor var der kun et enkelt certifikat man skulle holde øje med.

Ud over alle disse punkter er der som nævnt andre nye svagheder i NemID, fordi det er afhængig af to nye stykker tredjepartssoftware på klienterne.
Gravatar #19 - moulder666
3. sep. 2012 11:37
milandt (16) skrev:
I Danske Banks netbank app kan du handle aktier og værdipapirer.


Og Bankdatas version kan også (Sydbank, snart Jyske Bank og en lang række mindre banker)
Gravatar #20 - f-style
3. sep. 2012 12:00
lorric (10) skrev:
hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt? Som har bedre sikkerhed og samme eller bedre udbredelse.


Desværre laver jeg ikke hjemmesider og beskæftiger mig med den slags. Men det brude kunne laves i html5 med noget css, måske i noget php. Java er et stort sikkerhedsbrister, for der skal kun et hul til at kunne angribe alle i danmark stort set.
Det kan godt være der bare mangler de rigtig dygtige programmører til den her slags opgave. Java er okay, men problemet er at det automatisk kører i de fleste browsere og ikke spørger om lov inden det køres. I chrome f.eks. spørger den om siden skal have lov til at køre, hvis dette blev gjort i alle browsere ville det øge sikkerheden en hel del.

Lad os bare håbe der ikke kommer en storm af angreb mod danske brugere.
Gravatar #21 - HenrikH
3. sep. 2012 12:04
TezlaByte (9) skrev:
http://da.wikipedia.org/wiki/Standart

Det er kun for at gøre dig opmærksom på "stavefejlen".

man kunne vel ret beset argumentere at NemID har gjort Jave til en standart indenfor dansk IT? :-P
Gravatar #22 - Kiksmann
3. sep. 2012 12:32
Tja, det kommer vel ikke som den store overraskelse at Danmark benytter noget af det værste man kan indenfor IT.
Det svarer jo lidt til de målsætninger vi har gennem resten af samfundet.
Gravatar #23 - gensplejs
3. sep. 2012 13:01
lorric (10) skrev:
Nu er gær som regel osse meget lavt.

Nå, men ud over at lave sjov med stavefejl - hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt? Som har bedre sikkerhed og samme eller bedre udbredelse.
(Jeg prøver ikke at starte den store "NemID er noget lortekode" diskussion, så hold det sobert :-)

De kunne nøjes med https + html + javascript...
Jaja der findes også kritiske fejl i java script engines men så ville man ha muligheden for at skifte browser/os for at sikre sig.
Nu hvor NemID har valgt java applet og oracle samtidig åbenlyst ikke satser på java mere sidder de i saksen...
Gravatar #24 - gensplejs
3. sep. 2012 13:03
karstenharder (17) skrev:
Men https er da afhængig af certifikaterne, ikke sandt? Og var der ikke en del uro sidste år med certifikater der blev stjålet og misbrugt ...?

OG? Der bruges også https til slemID/netbanke nu. Og det Java applet der bruges til slemID log on signeres med samme type certifikat som dem man bruger til https....
Gravatar #25 - Æblemos
3. sep. 2012 13:36
"Nyheden" er godt nok af lav kvalitet :-(
Synes det er synd at Newz er sunket så lavt.

"Java sikkerhedsopdatering hjalp ikke"
Jo den gjorde, og betvivler man, så har man tydeligvis ikke forstået det mindste af problematikken.

Der bliver hele tiden fundet "nye/ukendte" fejl i programmer (såkaldte 0days), men disse fejl er for den brede befolkning først farlige når de aktivt exploites (og der ikke findes en rettelse til dem). Med mindre man er et 'high profile target' så skal man ikke frygte 0days.

Security Explorations arbejder med at finde 0days (som de lovligt sælger). Security Explorations siger ikke hvad fejlene er til offentligheden (det holder de fortroligt), de siger bare "vi har fundet en fejl i produkt X" (mens de self. gør køberen opmærksom på alle detaljerne om fejlen).

Den fejl der tales som (det var faktisk 2 fejl) bliver aktivt exploitet. Den er enormt stabil og enormt nem at udnytte, så derfor er den enormt farlig. Det var ikke Security Explorations som afslørede denne fejl, de gjorde bare opmærksom på at den fejl de fandt for lang tid siden, er den samme fejl som nu exploites (altså 2 forskellige personer har fundet samme fejl).

Alle Security Explorations' andre fejl er ikke farlige, fordi de eneste som kender til disse fejl er Security Explorations samt Oracle. Om Oracle udgiver en rettelse nu eller tester dem endnu mere og først udgiver dem om 2 måneder gør ikke det store (så længe ingen andre finder dem, og går igang med at udnytte dem).

Derfor HJÆLPER Oracles rettelse. Og da de ikke har rettet de andre fejl endnu, ja så virker de stadig (doh).

Men jo, en fejl bliver ikke rettet, og så findes den stadig.. lad os da endelig få en nyhed om det -.-'
Gravatar #26 - csstener(^,^)
3. sep. 2012 14:24
er det at sidte den til "click to play" ved java eller skal det slåes helt fra??
Gravatar #27 - TheAvatar
4. sep. 2012 12:24
#25
Du har til dels ret, men når de kunne udnytte et "nyt" sikkerhedshul efter kun få timer, så er der jo heller ikke langt til at andre kan - f.eks. dem som fandt fejlen efter Security Explorations. Nu ved andre jo også, at der ikke skal meget til.

Uanset hvad, så synes jeg, at det virker lidt sløset fra Oracles side af.
Men ja, overskriften er en smule EB, men så er det heller ikke værre.
Gravatar #28 - fiskefyren
5. sep. 2012 11:24
TezlaByte (9) skrev:
Det er kun for at gøre dig opmærksom på "stavefejlen".


Det er kun for at gøre dig opmærksom på "at du bør få dig et liv".
Gravatar #29 - GeoJensen
10. sep. 2012 13:26
"Ask toolbar" er et uundværligt værktøj, uden "Nem"ID og dermed java vil vi ikke få luret dette thrashware ind på vor computer.
;)
Gravatar #30 - arne_v
18. sep. 2012 18:05
gensplejs (23) skrev:
og oracle samtidig åbenlyst ikke satser på java


Hvad har givet dig den besynderlige ide?

Oracle har en p;n stor del af deres forretning som er afhængig af Java.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login